あまりにも恥をかかせると、名誉毀損とかになりそうだというツッコミをいただいたりしました。おっしゃるとおり。そういうリスクはありますよね。
しのだ先生のツッコミのように、「じゃー、やーめた」という類型もあることが想定されますしね。*1
とするとやっぱり現金ですかねえ（笑）。こじま先生のツッコミのように減俸とか、あるいはネット止めたら年間売上高／365／24×停止時間分払えとか。某おざき先生によれば、その前に雇用契約上注意義務を負わせておくことがポイントだそうですヽ(´ー`)ノ。
・・・まあでも、恥か現金かってのは、おそらくケース・バイ・ケースで使い分ける感じがいいんじゃないかなあ？
重たい場合は現金、軽微な場合は恥とか。あるいは両方とか。
前回のケーキオフのディスカッションでログの効用について話していたとき、例えばアクセスURLトップ10をログから解析して公表すれば、私的な利用の量的低減にはすごく効果があるとかいう話もありました。これは「恥」効果ですよね。しかし、会社からエロサイトにアクセスすることが恥ずかしくない人には効果が無い。同じIPからのアクセスがいっこうに低減しない場合は、現金にするとか。
ワームなどの重過失はいきなり現金とか。
そういう感じでいろいろ手を変え品を変えしていかないとならんのでしょうかねえ。・・・それにしても大学とかは厄介ですねえ。
減俸などの処分を新設する場合に厄介なのは、人事とかのルール管理部門とルール作っていかなければならない、というところですね。しかし、ぶっちゃけそういうところは前例主義が多くて、経営者がやれー、と強めに言わないとなかなかことが進まないという障害があったりします。恥をかかせるだけの仕組みであれば、情報システム部門でルール案を作成して上申するだけで済むんですけどねえ。
まあでも、本気で組織としてセキュリティに取り組むのならば、部門をまたがってみんなでセキュリティを考慮した業務プロセスにしていかないとならないんですけどねえ。本気でやってれば、そういうことが障害になるハズはねーんですが（苦笑）。